Ein weiterer Grund warum phpinfo() nichts auf dem live System zu suchen hat

Kommentieren Sep 06 2011

 

Die Funktion phpinfo() liefert viele nützliche Informationen die man so als Entwickler so brauchen kann.
Leider auch viele Infos die es einem Angreifer leichter machen irgendwo anzusetzen. Daher ist es immer ratsam diese Funktion zu blockieren. Dazu sollte man auch Suhosin verwenden.

Nun gibt es noch einen Grund warum man die phpinfo() Funktion blockieren sollte.

LFI WITH PHPINFO() ASSISTANCE

Da wird in Kombination mit temporären Dateien und der phpinfo() Funktion Daten auf den Server geschleust.